I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

SCOPRI GLI ABBONAMENTI

By design e by default – Prima parte

Il Comitato europeo (EDPB), trascorso il periodo di consultazione pubblica, ha adottato il 20 ottobre 2020 in via definitiva le linee guida n. 04/2019 sull’articolo 25 del GDPR. Questa disposizione disciplina il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e per impostazione predefinita (by default).

By design e by default

ACCOUNTABILITY

Il principio di responsabilizzazione o accountability, come indicato nelle linee guida 04/2019, «è generale: richiede che il titolare del trattamento sia responsabile nella scelta delle misure tecniche e organizzative necessarie»; in verità, esso si declina in più modi, ad esempio: in aggiunta all’adozione di misure tecnico-organizzative adeguate, seguendo l’approccio basato sul rischio con un’accurata analisi dei rischi per qualsiasi trattamento nonchè la dpia per quelli a presumibile rischio elevato, adottando un appropriato sistema documentale, dotandosi di un modello di governo data protection integrato nel proprio assetto organizzativo interno.

Il titolare del trattamento è il soggetto che il legislatore ritiene primariamente destinatario e responsabile delle prescrizioni di legge e l’obbligo di accountability è la più alta manifestazione di tale responsabilità. Spetta al titolare, pertanto, rendere effettivo questo obbligo mediante una serie di interventi e azioni, talune esplicitate nel regolamento, altre desunte dalla lettura “in filigrana” della norma.

ARTICOLI 5.2, 24 E 25

Il principio di accountability nel GDPR viene enunciato al paragrafo 2 dell’articolo 5 e precisato all’articolo 24: esso si sostanzia nella conformità a tutti i principi del GDPR e nella capacità di dimostrarla. L’articolo 25 sulla protezione dei dati fin dalla progettazione e per impostazione predefinita non segue l’articolo 24 per mera coincidenza casuale, in quanto esso sostanzia di fatto come la responsabilizzazione assume effettività: le appropriate misure e salvaguardie volte a proteggere i diritti degli interessati sono adottate sin dalla fase di progettazione del trattamento dei dati personali per garantirne l’effettività. In linea con i principi by design e by default, per dimostrare l’efficacia delle misure e delle garanzie nell’attuazione dei principi e dei diritti, ad esempio, il titolare potrebbe utilizzare indicatori chiave di prestazione (KPI) cioè «un valore misurabile scelto dal titolare del trattamento che dimostra quanto efficacemente il titolare del trattamento raggiunga il proprio obiettivo di protezione dei dati».

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

ABBONATI ORA

Sei già abbonato?

ACCEDI

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form

Logo_HouseofData_tutto_bianco_home1

CONTATTI

segreteria@imperialida.com

Via Santa Maria Valle, 3, 20123, Milano

Iscriviti al bollettino

Info4